Neues Schweizer Datenschutzgesetz ab 1. September 2023: Neue Informationspflichten für Händler

Neues Schweizer Datenschutzgesetz ab 1. September 2023: Neue Informationspflichten für Händler
Stand: 25.08.2023 11 min 1

Ab 1. September gilt das neue Schweizer Datenschutzgesetz (DSG). Diese enthält viele neue Pflichten, die bei der Bearbeitung von Daten von Personen in der Schweiz zu beachten sind. Dies betrifft insbesondere auch Datenschutzerklärungen von Online-Händlern. Wir geben in diesem Beitrag einen Überblick über die Neuerungen und zeigen, welche Datenschutzerklärungen Händler jetzt dringend anpassen müssen. Das Gute: Mandanten unserer Schutzpakete sind mit nur wenig Aufwand weiterhin geschützt.

I. Große Revision des Schweizer Datenschutzrechts

Bis heute gilt in der Schweiz im Wesentlichen das Schweizer Datenschutzgesetz (DSG), das bereits 1992 in Kraft getreten ist. Die Welt der Datenverarbeitung - in der Schweiz wird begrifflich allerdings von Datenbearbeitung gesprochen - ist seitdem eine vollkommen andere. Zudem haben die angrenzenden Nachbarstaaten der Europäischen Union mit der Datenschutz-Grundverordnung (DSGVO) bereits im Jahre 2018 ein modernes Datenschutzrecht eingeführt, so dass die Schweiz nachziehen musste, um insbesondere Hindernisse für den Austausch von Daten mit den Nachbarn und damit Handelshemmnisse abzubauen.

Bereits im September 2020 beschlossen, findet das neue Schweizer „Bundesgesetz über den Datenschutz“ (Datenschutzgesetz; DSG) nun nach einer längeren Übergangsphase zum 1. September 2023 Anwendung.

II. Datenverarbeitung in der Schweiz im Grundsatz erlaubt - doch ein großes Aber

Während die Datenverarbeitung in der EU grundsätzlich verboten ist und nur erfolgen darf, wenn sie auf einer ausdrücklichen Rechtsgrundlage beruht, bleibt die Datenbearbeitung in der Schweiz im Grundsatz auch weiterhin erlaubt, muss aber gewissen datenschutzrechtlichen Anforderungen genügen. In der gelebten Praxis ist der Unterschied dieser beiden Ansätze häufig kaum feststellbar.

Unzulässige Datenbearbeitung in der Schweiz: In der Schweiz ist eine Bearbeitung von Daten unzulässig, wenn sie die Persönlichkeit von betroffenen Personen widerrechtlich verletzt (Art. 30, 31 DSG). Eine Persönlichkeitsverletzung kann etwa vorliegen, wenn die Datenbearbeitung gegen die Prinzipien der Zweckbindung, Verhältnismäßigkeit oder Speicherbegrenzung verstößt. Widerrechtlich - und damit unzulässig - ist die Datenbearbeitung dann, wenn sie nicht gerechtfertigt werden kann:

  • durch eine Einwilligung der betroffenen Person,
  • durch ein überwiegendes privates Interesse,
  • durch ein überwiegendes öffentliches Interesse oder
  • durch (ein) Gesetz.

Grob lässt sich somit sagen: Wer die Standards der DSGVO erfüllt, erfüllt im Wesentlichen auch die Standards des neuen Schweizer Datenschutzgesetzes, so dass eine Datenverarbeitung nach den Grundsätzen der DSGVO in aller Regel auch die Kriterien des DSG einhält.

III. Anwendungsbereich des Schweizer Datenschutzgesetzes: Wer ist betroffen?

Das Schweizer Datenschutzgesetz findet in räumlicher Hinsicht Anwendung auf Sachverhalte, die sich in der Schweiz auswirken, auch wenn sie im Ausland veranlasst werden (Art. 3 Abs. 1 DSG). Dieses sog. Marktortprinzip ist bereits aus dem EU-Recht bekannt und bedeutet, dass jedenfalls nicht nur Unternehmen mit Sitz in der Schweiz betroffen sind, sondern auch Unternehmen, die ihren Sitz im Ausland haben. Auch diese müssen die Vorgaben des DSG beachten, wenn sie etwa personenbezogene Daten von Personen verarbeitet, die sich in der Schweiz aufhalten - egal ob dieser Schweizer Nationalität sind oder sich - wie z.B. Touristen - nur kurzfristig in der Schweiz befinden.

In sachlicher Hinsicht findet das Schweizer Datenschutzgesetz künftig - im Gegensatz zu bislang - nur noch auf Personendaten natürlicher Personen und nicht mehr auch auf Daten von juristischen Personen Anwendung.

Banner Starter Paket

IV. Neue Informationspflichten: Anpassung von Schweizer Datenschutzerklärungen erforderlich

1. NEU: Pflicht zur umfassenden Information über Datenbearbeitung

Das Schweizer Datenschutzgesetz enthält nun die Pflicht des Verantwortlichen, also etwa auch von Online-Händlern, betroffene Personen angemessen über die Beschaffung und Bearbeitung ihrer Daten - im Rahmen einer Datenschutzerklärung - zu informieren (Art. 19 DSG).

Bislang bestanden datenschutzrechtliche Informationspflichten für private Verantwortliche nach Schweizer Datenschutzrecht nur bei besonders schützenswerten, d.h. besonders sensiblen Personendaten. Nun gilt die Informationspflicht hinsichtlich der Bearbeitung sämtlicher Personendaten.

2. Vorgegebener Inhalt der Pflichtinformationen

Der Verantwortliche - im Falle eines Webshops ist dies der Betreiber bzw. Inhaber des Online-Shops - muss die betroffenen Personen, deren Daten bearbeitet werden (z.B. Kunden des Webshops) offen und transparent mit denjenigen Informationen versorgen, die erforderlich sind, so dass diese ihre Datenschutzrechte nach dem Schweizer Datenschutzgesetz geltend machen können und insgesamt eine transparente Datenverarbeitung gewährleistet ist (Art. 19 Abs. 1 DSG).

Konkret muss der Verantwortliche die betroffenen Personen grundsätzlich mindestens über die folgenden Umstände informieren:

  • Identität und Kontaktdaten des Verantwortlichen
  • Zweck der Bearbeitung der Personendaten
  • (ggf.) Empfänger oder Kategorien der Empfänger, denen Personendaten bekanntgegeben werden.
  • bei Bekanntgabe von Personendaten ins Ausland: Mitteilung des Empfängerstaates oder des internationalen Organs, in den bzw. an das die Personendaten übermittelt werden und ggf. die - im Schweizer Datenschutzgesetz ausdrücklich vorgesehenen - Garantien oder die Anwendung einer gesetzlichen Ausnahme von den Garantien

Diese Informationspflichten orientieren sich stark an den entsprechenden Regelungen in Art. 13 DSGVO. Auffällig ist jedoch, dass nicht über eine Rechtsgrundlage informiert werden muss, auf deren Grundlage die Personendaten bearbeitet werden. Dies ist nur konsequent, da aufgrund des im Grundsatz schon unterschiedlichen Ansatzes des Datenschutzes (in der Schweiz ist die Datenbearbeitung grundsätzlich erlaubt, unterliegt aber einigen rechtlichen Beschränkungen) eine Rechtsgrundlage für eine zulässige Datenbearbeitung grundsätzlich auch nicht erforderlich ist.

Wie die DSGVO sieht zudem auch das Schweizer Datenschutzgesetz einige Ausnahmen vor, wann die Informationspflicht entfällt. Allerdings spielen diese Ausnahmen im Online-Handel in der Regel keine Rolle.

Art und Weise der Datenschutzinformation: Gemäß den detaillierteren Vorgaben der ebenso überarbeiteten Schweizer Verordnung über den Datenschutz (Datenschutzverordnung; DSV) muss der Verantwortliche den betroffenen Personen die Information über die Beschaffung ihrer Personendaten:

  • in präziser,
  • transparenter,
  • verständlicher und
  • leicht zugänglicher Form

mitteilen.

V. Erstellung eines Verzeichnisses der Bearbeitungstätigkeiten

Das Schweizer Datenschutzgesetz verpflichtet Verantwortliche ebenso wie die DSGVO grundsätzlich zur Erstellung und laufenden Pflege eines Verarbeitungsverzeichnisses - in der Schweiz Verzeichnis der Bearbeitungstätigkeiten genannt -, das einen Überblick über sämtliche Datenbearbeitungen liefert.

Dieses Verzeichnis muss nach Art. 12 DSG mindestens Angaben zu den folgenden Punkten enthalten:

  • Identität des Verantwortlichen
  • Bearbeitungszweck
  • Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten
  • die Kategorien der Empfängerinnen und Empfänger
  • wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer
  • wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit
  • falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Empfängerstaates sowie die gesetzlichen Garantien für die Datenübermittlungen

Die Erstellung und laufende Pflege eines solchen Verzeichnisses mit diesen Inhalten ist bereits aus der DSGVO bekannt, so dass Verantwortliche, die ein solches DSGVO-Verarbeitungsverzeichnis führen, die Schweizer Vorgaben erfüllen können.

Wichtige Ausnahme: Keine Pflicht zur Führung eines Bearbeitungsverzeichnisses besteht nach Art. 12 der Schweizer Datenschutzverordnung für:

  • Unternehmen und andere privatrechtliche Organisationen, die am 1. Januar eines Jahres weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigen, sowie
  • natürliche Personen

Diese sind von der Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten befreit, wenn nicht besonders schützenswerte Personendaten in grossem Umfang bearbeitet werden oder ein sog. Profiling mit hohem Risiko durchgeführt wird. Bei Online-Händlern ist dies beides in der Regel nicht der Fall, so dass sie bei entsprechender Mitarbeiterzahl von der Pflicht zur Führung des Bearbeitungsverzeichnisses befreit sind.

VI. Betroffenenrechte werden erweitert

1. Erweiterteres Auskunftsrecht

Jede Person kann nach dem Schweizer Datenschutzgesetz vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden (Art. 25 Abs. 1 DSG). Der Verantwortliche muss der betroffenen Person diejenigen Informationen zur Verfügung stellen, die erforderlich sind, damit sie ihre Rechte auch dem Schweizer Datenschutzgesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist.

Das Auskunftsrecht umfasst in jedem Fall die Auskunft zu folgenden Informationen:

  • die Identität und die Kontaktdaten des Verantwortlichen
  • die bearbeiteten Personendaten als solche
  • Bearbeitungszweck
  • Aufbewahrungsdauer der Personendaten oder - falls dies nicht möglich ist - die Kriterien zur Festlegung dieser Dauer
  • die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden
  • ggf. das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht
  • ggf. die Empfänger oder die Kategorien von Empfängern, denen Personendaten bekanntgegeben werden

Dies Auskunft muss in der Regel innerhalb von 30 Tagen erteilt werden. Die weiteren Modalitäten des Auskunftsrechts, einschließlich zu gesetzlichen Einschränkungen des Auskunftsrechts, etwa bei Berufsgeheimnisträgern, sind im Detail im Schweizer Datenschutzgesetz und in der Schweizer Datenschutzverordnung geregelt.

2. Recht auf Datenübertragung

Das Schweizer Datenschutzgesetz enthält nun auch das ebenso bereits aus der DSGVO bekannte Recht von betroffenen Personen, vom Verantwortlichen die Herausgabe ihrer Personendaten in einem gängigen elektronischen Format zu verlangen, wenn der Verantwortliche die Daten automatisiert - und nicht etwa manuell - bearbeitet und die Daten mit der Einwilligung der betroffenen Person oder in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages zwischen dem Verantwortlichen und der betroffenen Person bearbeitet werden.

Zwar kann dies somit auch die Vertragsbeziehungen zwischen Online-Händlern und ihren Kunden betreffen. Die Erfahrungen mit der DSGVO zeigen aber, dass dieses Recht auf Datenübertragung in der Praxis in solchen Fällen noch eine vergleichbar geringe Rolle spielt, in der alltäglichen Praxis des Online-Handels also kaum in Erscheinung tritt.

3. Recht auf Löschung

Ein Betroffenenrecht auf Löschung ist im Schweizer Datenschutzgesetz hingegen etwas anders ausgestaltet als in der DSGVO - und auch anders als etwa die vorgenannten Rechte auf Auskunft und Datenübertragung.

Erst im Rahmen einer Klage zum Schutze ihrer Persönlichkeit soll die klagende betroffene Person verlangen können, dass Personendaten gelöscht oder vernichtet werden (Art. 32 Abs. 2 S. 2 Buchst. c DSG). Wie sich dies auf die alltägliche Praxis auswirken wird, wird man abwarten müssen.

VII. Sonstige Neuerungen des Schweizer Datenschutzgesetzes

1. Ernennung einer Datenschutzberaterin bzw. eines Datenschutzberaters

Private Verantwortliche, also Unternehmen, einschließlich Händlern, können eine Datenschutzberaterin oder einen Datenschutzberater ernennen (Art. 10 DSG) - das Pendant zum Datenschutzbeauftragten des Verantwortlichen nach der DSGVO.

Im Unterschied zu einigen Konstellationen nach der DSGVO besteht im Schweizer Datenschutzrecht keine allgemeine Pflicht zur Ernennung einer Datenschutzberaterin bzw. eines Datenschutzberaters. Allerdings kann die Ernennung in manchen Konstellationen eine Privilegierung bedeuten, die für den Verantwortlichen Vorteile hat. Für Online-Händler hat dies aber keine Relevanz.

2. Datenschutz-Folgenabschätzung

Wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann, muss der Verantwortliche eine Datenschutz-Folgenabschätzung erstellen (Art. 22 Abs. 1 DSG).

Dabei ergibt sich ein hohes Risiko für die betroffene Person in diesem Sinne, insbesondere bei Verwendung neuer Technologien,

  • aus der Art,
  • dem Umfang,
  • dem Umstand und
  • dem Zweck

der Bearbeitung. Ausdrücklich nennt das Schweizer Datenschutzgesetz zwei Fallbeispiele. Zum einen bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten und zum anderen, wenn systematisch umfangreiche öffentliche Bereiche überwacht werden.

Diese Beispiele zeigen, dass erst bei besonders riskanten Datenbearbeitungen die Pflicht zur Erstellung von Datenschutz-Folgenabschätzungen ausgelöst wird. Online-Händler sind in ihren alltäglichen Datenbearbeitungen im Zusammenhang mit der Bearbeitung von Bestellungen und / oder Marketingmaßnahmen hiervon in der Regel nicht betroffen.

3. Privacy by Design und by Default

Das Schweizer Datenschutzgesetz führt nun parallel zur DSGVO die Grundsätze des „Privacy by Design“ (Datenschutz durch Technikgestaltung) und „Privacy by Default“ (Datenschutz durch Voreinstellung) ein.

Wichtig sind diese Prinzipien vor allem bei der Planung und Gestaltung von datenbearbeitenden Produkten, wie Software-Applikationen, und bei der Gestaltung von Prozessen, in denen Daten bearbeitet werden. Hierbei muss nun auch nach Schweizer Datenschutzrecht der Schutz und der Respekt der Privatsphäre der betroffenen Personen berücksichtigt werden. Im Alltag von Online-Händlern spielen diese Neuerungen aber eher weniger eine Rolle.

4. Meldepflicht bei Datenschutzverletzungen

Wie in der DSGVO enthält das Schweizer Datenschutzgesetz nun eine Pflicht des Verantwortlichen zur Meldung von bestimmten Verletzungen der Datensicherheit (Art. 24 DSG) beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) - dies ist die Schweizerische Datenschutzbehörde.

Diese Meldepflicht betrifft solche Verletzungen der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führen. Solch gravierende Sicherheitsvorfälle sind bei Online-Händlern zwar grundsätzlich denkbar, dürften aber nur in seltenen Fällen vorliegen. Der Pflichtinhalt der Meldung ist im DSG und in der DSV weiter gesetzlich ausgestaltet.

Wenn dies zum Schutz der betroffenen Person erforderlich ist oder die Schweizer Datenschutzbehörde dies ausdrücklich verlangt, muss der Verantwortliche grundsätzlich auch die betroffene Person informieren.

VIII. Härtere Sanktionen bei Verstößen

Neben bestimmten behördlichen Maßnahmen, die der Schweizer Datenschutzaufsicht zustehen, bietet das Schweizer Datenschutzgesetz künftig härtere Sanktionsmöglichkeiten als bisher, die die Bedeutung des Datenschutzes in der Schweiz verdeutlichen sollen, die nicht der Datenschutzaufsicht, sondern tatsächlich den kantonalen allgemeinen Strafverfolgungsbehörden zustehen:

  • Eine Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten kann mit einer Geldbuße in Höhe von bis zu 250.000 Franken bestraft werden (Art. 60 DSG).
  • Eine Verletzung von datenschutzrechtlichen Sorgfaltspflichten kann ebenso mit einer Geldbuße in Höhe von bis zu 250.000 Franken bestraft werden (Art. 61 DSG)

Insoweit verantwortlich ist stets die private Person, nicht das Unternehmen, für das diese private Person ggf. handelt. Widerhandlungen in Geschäftsbetrieben, also in Unternehmen, können - statt den betreffenden privaten Personen - unter gewissen Voraussetzungen in Höhe von bis zu 50.000 Franken den Geschäftsbetrieben auferlegt werden.

IX. Aktion für Mandanten erforderlich: Neukonfiguration und Aktualisierung auf Zielseiten

Im Zuge der weitgehenden Anpassungen der Informationspflichten werden alle Mandanten, die eine oder mehrere der folgenden Datenschutzerklärungen

  • Online-Shop Schweiz (deutsch)
  • Online-Shop Schweiz (französisch)
  • Online-Shop Schweiz (italienisch)

verwenden, gebeten, diese bis spätestens zum 31.08.2023 im Mandantenportal neu zu konfigurieren.

*Weitere Informationen hierzu finden Sie in diesem Beitrag der IT-Recht Kanzlei.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

1 Kommentar

C
CT24 29.08.2023, 21:45 Uhr
Online Shop Schweiz
Aufmerksam haben wir die anstehenden Änderungen für die Schweiz zur Kenntnis genommen.

Wir sind als Deutscher Online Shop gelistet, verkaufen aber auch gerne in die Schweiz, da dies neben vielen anderen Ländern in und außerhalb der EU bei uns erlaubt ist:
Gilt es nun, durch diesen Umstand unsere Datenschutzerklärung auch anzupassen?

Beiträge zum Thema

US-Datentransfers bei Google Analytics & Co: Hoffnungsschimmer?
(01.12.2022, 08:05 Uhr)
US-Datentransfers bei Google Analytics & Co: Hoffnungsschimmer?
CH-Händler aufgepasst: Neues Schweizer Datenschutzgesetz frühestens zum September 2023
(12.07.2022, 07:46 Uhr)
CH-Händler aufgepasst: Neues Schweizer Datenschutzgesetz frühestens zum September 2023
Datenschutz im Web 2.0: Wann gilt das deutsche Bundesdatenschutzgesetz?
(14.03.2012, 07:01 Uhr)
Datenschutz im Web 2.0: Wann gilt das deutsche Bundesdatenschutzgesetz?
Datenschutz in Dubai: das “DIFC Data Protection Law”
(07.09.2011, 08:37 Uhr)
Datenschutz in Dubai: das “DIFC Data Protection Law”
USA-Datenschutz nach Safe Harbor: Änderungen nach Entscheidung der Aufsichtsbehörden
(28.07.2010, 11:56 Uhr)
USA-Datenschutz nach Safe Harbor: Änderungen nach Entscheidung der Aufsichtsbehörden
Die neuen EU-Standardvertragsklauseln: Für die Auftragsdatenverarbeitung in Drittländern und die Auswirkungen auf die Praxis
(24.03.2010, 19:58 Uhr)
Die neuen EU-Standardvertragsklauseln: Für die Auftragsdatenverarbeitung in Drittländern und die Auswirkungen auf die Praxis
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.

Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.

Ihre IT-Recht Kanzlei
Vielen Dank!

Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
© 2004-2024 · IT-Recht Kanzlei